Сырсөздөр: аларды кантип туура жасоо керек: 10 кадам

2024 Автор: John Day | [email protected]. Акыркы өзгөртүү: 2024-01-30 10:42

Ушул жылдын башында аялым айрым эсептерине кире албай калды. Анын сырсөзү бузулган сайттан алынган, кийин ал башка эсептерге кирүү үчүн колдонулган. Сайттар кирүү аракеттери ийгиликсиз болгондугу тууралуу кабарлай баштаганда гана, ал эч нерсе болбогонун түшүндү.

Мен ошондой эле ар бир сайт үчүн бир эле сырсөздү колдонобуз деген бир топ адамдар менен сүйлөштүм. Бул эки нерсе бул Нускаманы жазууга түрткү болду.

Сырсөз коопсуздугу онлайн коопсуздугунун бир аз бөлүгү. Дээрлик ар бир каттоо эсеби коргоп жаткан нерсеге жетүү үчүн кандайдыр бир логинди талап кылат. Бул жалгыз сап көбүнчө чабуулчу менен сиздин жеке маалыматыңыздын, акчаңыздын, жеке сүрөттөрүңүздүн же сиз көп жылдар бою чогулткан саякат чекиттеринин ортосунда турат.

Бул көрсөтмө сырсөздөрдү түзүүнүн эң мыкты тажрыйбаларын камтыйт. Эгер сиз ар бир веб -сайт үчүн бирдей сырсөзгө ээ болгон адам болсоңуз, кимдин сырсөздөрү клавиатурада үлгү болсо, же сырсөзүңүздө "пароль" деген сөз бар болсо, бул көрсөтмө сиз үчүн.

Disclaimer

Мен коопсуздук боюнча эксперт эмесмин. Бул маалымат убакыттын өтүшү менен үйрөнүлгөн жана изилденген жана абдан татаал теманын рекомендациясы жана резюмеси гана. Бул окуу куралы 2018 -жылдын башында жазылган жана аны окуганда эскирип калышы мүмкүн.

TL; DR

Эгерде менин сырсөздөрүмдүн артында менин бардык ой жүгүртүүм жана түшүндүрмөлөрүм жок болсо жана коопсуз сырсөздөрдү жасоонун оңой жолун кааласаңыз, акыркы кадамга өтүңүз.

1 -кадам: Узун кылыңыз

Узундук - сырсөз коопсуздугунун эң маанилүү компоненти. Компьютерлердин ылдамдыгы менен, паролдорду укмуштуудай ылдамдыкта сынап көрүүгө болот. Бул "катаал күч" сырсөздү бузуу деп аталат. Сиз дал келгенди тапмайынча, мүмкүн болгон символдордун айкалышын байлап жатат.

Теориялык жактан алганда, бул жетиштүү убакыт берилип, кандайдыр бир сырсөздү сындырат. Бактыга жараша, сырсөз канчалык узун болсо, бул чабуулдун түрү ошончолук узакка созулат. Узундукка кошкон ар бир тамга кыйынчылыкты бир топ оорлотот. Эгер ал жетишерлик узун болсо, аны мындай жол менен табуу үчүн ондогон жылдар талап кылынышы мүмкүн, бул болсо чабуулчуга татыктуу эмес.

Мисал

Келгиле, сизде чоң тамгалар менен гана сырсөз бар дейли. Бул жакшы идея эмес, бирок бул мисал үчүн гана. Сырсөзгө башка символду кошкондо, ал мүмкүн болгон сырсөздөрдүн санын 26га көбөйтөт. Эгерде сизде 1 тамгадан турган сырсөз болсо, анда 26 мүмкүн болгон сырсөз, 2 тамгада 676 мүмкүн болгон сырсөз болмок, ж.б..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Көрүнүп тургандай, сиз кошкон ар бир тамга бул чабуулду бир топ татаалдаштырат жана жетиштүү символдор менен иш жүзүндө мүмкүн эмес. Унутпаңыз, бул чоң тамгалар менен гана. Алар татаалдашкандан кийин, бул эффект чоңойтулат.

2 -кадам: Аны комплекстүү кылыңыз

Татаалдык - сырсөз коопсуздугунун дагы бир чоң фактору. Эгерде веб -сайт качандыр бир убакта бузулса, анда колдонуучу аттары менен сырсөздөр алынып салынышы мүмкүн. Коопсуздуктун негизги деңгээли катары, веб -сайтта сактоодон мурун сырсөздөр (шифрлөөгө окшош) бар деп үмүттөнөбүз. Бул алар маалымат базасына кирерден мурун бузулганын билдирет жана бул бузулууну артка кайтаруунун эч кандай жолу жок.

Мунун баары жакшы угулат. Сырсөзүңүздүн мааниси жок, анткени ал бузулган, туурабы? Сырсөзүңүз татаал болбосо, андай эмес. Колдонулган стандарттык хэширлөө алгоритмдери бар (SHA1, MD5, SHA512 ж. Б.) Жана алар дайыма эле ошол эле нерсени ташташат. Мисалы, эгер сиз SHA1 колдонуп жатсаңыз жана сиздин сырсөзүңүз "сырсөз" болсо, ал маалымат базасында "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8" катары дайыма сакталат.

Хэштерди түзүү убакытты жана компьютерди талап кылат, жана мүмкүн болгон бардык сырсөздөр үчүн мүмкүн болгон хэштерди эсептөө иш жүзүндө мүмкүн эмес. Эл эмне кылды - жалпы сырсөздөрдүн "сөздүктөрүн" жасоо. "Сырсөз" же "qwerty" сыяктуу нерселер, албетте, азыраак болгон нерселердин ичинде болот. Бул сөздүктөрдө миллиондогон сырсөздөр болот жана ар бир жазуудан өтүп, белгилүү хэшти сырсөзүңүздүн таштандысына салыштыруу үчүн бир нече секунд талап кылынат. Бул "сөздүк чабуул" деп аталат. Эгерде сиздики мурунтан эле эсептелгендердин бири болсо, анда паралинг сиздин паролду коргобойт жана аны башка сайттарда колдонсо болот.

Ошондой эле, тамгаларды сандарга өзгөртүү татаалдыкты кошпойт. Бул E 3кө же Iге 1ге алмаштыруу татаалыраак көрүнүшү мүмкүн, бирок бул кадимки практика, ошондуктан ал коопсуздукту кошпойт. Крекинг программаларында ошол варианттарды автоматтык түрдө сынап көрүүгө мүмкүнчүлүк бар.

3 -кадам: Аны уникалдуу кылыңыз

Сырсөздөрдү эстөө кыйын. Жашообуз барган сайын онлайнга айланып баратканда, ар бир адамдын 50дөн ашык онлайн эсептери болушу, ар бири өз логинине ээ болушу сейрек эмес. Бул көз салуу үчүн абдан кыйын болушу мүмкүн.

Адамдар муну башкаруунун эң кеңири таралган жолу - бир "жакшы" сырсөздү тандоо жана аны ар кандай веб -сайттарда колдонуу. Бул коркунучтуу идея. Болгону бир коопсуздукту бузуу же бир фишинг веб -сайты топтун кыймылын баштоо үчүн колдонуучу атыңызды жана сырсөзүңүздү алуу үчүн. Чабуулчулар секунда ичинде жүздөгөн веб -сайттарда ошол логинди жана сырсөздү колдонушу мүмкүн. Бул аларды автоматтык түрдө бузулган колдонуучу аты менен ар бир веб -сайтка киргизет.

Мен билем, ар бир сайт үчүн башка сырсөзгө ээ болуу оор тапшырма сыяктуу көрүнөт, бирок биз муну кийинчерээк кантип чечүү керектигин карайбыз.

4 -кадам: Жеке эч нерсе жок

Сиздин маалымат сиз ойлогондой купуя эмес. Онлайнда тез издөө сиздин туулган күнүңүздү же дарегиңизди оңой эле таба алат. Эгерде башка эсеп бузулган болсо, андан да көп маалыматты оңой алууга болот. Эгерде сиздин каттоо эсебиңизге кирүүгө аракет кылып жаткан чабуулчу болсо, анда бул аракет үчүн ачык сырсөздөр болмок. Ал ошондой эле үй -бүлө мүчөлөрүнө, досторуна, ал тургай тааныштарына кирүүнү ачык калтырат.

5 -кадам: Бардык сырсөздөрдү ошол эле камкордук менен караңыз

Вебсайттар менен иштөөдө, алардын коопсуздугуна бирдей камкордук менен мамиле жасоо керек. Мисалы, эгер сизде мышыктын сүйүктүү вебсайтына кирүү бар болсо, анда банктын логинине окшош сактык чараларын көрүшүңүз керек. Бардык укмуш муруттарга жетүүнү жоготуу анча деле сезилбеши мүмкүн, бирок бул жөн эле чабуулчу үчүн тепкич болушу мүмкүн. Ошол "маанилүү эмес" веб -сайтты бузуу чабуулчуга сиз жөнүндө көбүрөөк маалымат бериши мүмкүн, мисалы сиз колдонгон башка колдонуучу аты, сиз кирген башка электрондук почта же башка вебсайттардын кулпусун ачуу үчүн колдонулушу мүмкүн болгон чыныгы маалымат.

Ошондой эле, эгерде бул маанилүү эмес веб -сайт болсо, анда алар коопсуздук эрежелерин сактабашынын ыктымалдуулугу жогору, демек, эгер сиздин сырсөзүңүз узун жана татаал болсо, бирок уникалдуу эмес жана сырсөздөр сакталганда туура хэштелбеген болсо, бул паролду башка веб -сайттарда оңой колдонсо болот. Дагы, бул сайт "маанилүү эмес" болгону үчүн, сиздин коопсуздугуңузду билдирбейт.

6 -кадам: Жашырыңыз

Жакшы - Оффлайн сактагыч

Эгерде сиз унутчаак адам болсоңуз, оффлайн сактоо жакшы вариант болушу мүмкүн. Сырсөздөрүңүз менен кулпуланган USB таякчаңыздын болушу үй -бүлөңүздү жана досторуңузду эске албаганда, көпчүлүк чабуулдардан коргойт. Бул таякты кандайдыр бир жол менен жоготуп алган учурда, сырсөз файлы же бүт диск шифрленгенин жана таяктын абдан коопсуз жерде сакталганын текшериңиз.

Бул ыкма көп коопсуздукка ээ, бирок ыңгайлуулуктун баасында.

Анын оффлайнда болушунун себеби төмөндө кененирээк түшүндүрүлөт. Эсиңизде болсун, сиз каалабасаңыз дагы, көптөгөн түзмөктөр автоматтык түрдө булутка камдык көрүшөт. Ошондой эле, эгерде сиз бул таякчаны вирусу бар же бузулган түзмөккө туташтырсаңыз, анда маалыматты оңой эле көчүрүп алса болот.

Жакшыраак - Баарын эстеп

Сырсөздөрүңүздүн баарын унутпаңыз. Эгер сиз укмуштуудай жөндөмдүү болсоңуз, бул вариант болушу мүмкүн. Аларды табууга эч кимдин жолу жок, жана сиз аларды дайыма жаныңызда алып жүрөсүз. Кээ бир жаман жактарыбыз, көбүбүз татаал нерселерди эстөөдө таң калыштуу эмес жана бир-эки ичимдиктен кийин бир аз ашыкча сүйлөп калышат. Өзгөчө ондогон сырсөздөрдү эстеп калуу, бул, сыягы, жөнөкөй адам үчүн дагы мүмкүнчүлүк эмес.

Мыкты - Сактоо жок

Эң жакшы сценарий-бул аларды такыр сактабоо. Же кандайдыр бир жол менен уникалдуу, узун, татаал сырсөздөрүңүздүн баарын эстеп коюңуз, же аларды заматта кайра жаратуунун жолу бар. Эгерде сиз аларды кайра жаратуу үчүн керектүү ингредиенттерди билсеңиз, анда чабуулчу аларды "таба албайт", анткени алар керек болгонго чейин жок. Бул татаал сезилиши мүмкүн, бирок чынында андай эмес. Бул тууралуу кийинчерээк.

Оффлайндын маанилүүлүгү

Вебсайттар адамдар тарабынан башкарылат. Көпчүлүк веб -сайттар үчүн, балким, бул адамдардын жакшы ниети бар деп божомолдоого болот, бирок эң жакшы адамдар деле ката кетириши мүмкүн. Өткөн жылы эле Linked-In, Yahoo, Equifax, Apple жана Uber сыяктуу ири, жалпысынан коопсуз компаниялардын веб-сайттарынын коопсуздугун бузган бир нече учурлар болгон. Бул коопсуздук бөлүмдөрү бар ири компаниялар жана алар бузулган.

Булуттагы сактоо укмуштуудай угулат жана бул ыңгайлуулукту сунуштайт, бирок чындыгында "булут" деген эмне, бул сиздин файлдарыңызды сактоо үчүн колдонгон башка бирөөнүн компьютери. Жогоруда айткандай, адамдар ката кетириши мүмкүн. Андай болсо, сиздин сырсөздөрүңүз дүйнөгө жеткиликтүү болушу мүмкүн. Булут сайттары, алар кармаган маалыматтардын санынан улам, кол салуучулар үчүн чоң максат болуп саналат. Булут сайтын бузуңуз, миллиондогон адамдар сактаган бардык маалыматка жетиңиз.

Мен ишенем, булардын кээ бирлери паранойя, бирок бул сырсөздөрдүн артында жашырылган жашооңуздун чоң бөлүгү менен аларды коргоңуз.

7 -кадам: Менин сунушум

Бул сырсөз коопсуздугунун негизги түркүктөрүн түшүндүрүү үчүн абдан узак преамбула болду. Эгерде сиз бул 6 көрсөтмөнү аткарсаңыз, анда сизде онлайнда минималдуу коопсуздук көйгөйлөрү болушу керек жана эгерде бир нерсе болуп кетсе, ал онлайн жашооңуздун калган бөлүгүнө жайылып кетпестен, булакта токтолушу керек.

Бул кыйынчылыктарды чечүүнүн ар кандай жолдору бар. Кээ бирлери башкаларга караганда жакшыраак жана ар кандай пайдаларды берет. Менин жакшы көргөн чечимим SuperGenPass (SGP). Мен эч кандай байланышы жокмун, мен жөн гана күйөрманыммын.

Колдонууга жөнөкөй

SGPде сиздин телефонуңуз үчүн колдонмо жана браузериңизге кошо турган баскыч бар. Качан сиз веб -сайтка кирсеңиз жана ал сиздин логиниңизди сураса, баскычты басыңыз. Кичине терезе ачылат. Башкы сырсөзүңүздү киргизиңиз. SGP бул сайт үчүн сырсөздү жаратат жана аны сиз үчүн сырсөз кутусуна киргизет!

Узун

Сиз түзүлгөн сырсөздүн узундугун тандай аласыз. Бул 24 белгиге чейин сырсөздөрдү жаратат, бул абдан коопсуз, бирок кээ бир вебсайттар сырсөзүңүздүн узундугун чектесе, кыскараагын тандай аласыз.

Комплекс

Чоң, кичине жана сандар колдонулат, бул кыйла коопсуз. Алар эч кандай сөз же сөз айкашы жок таанымал үлгүгө ээрчишпейт. URL же башкы сырсөзүңүздүн эч нерсеси бул сапта жок.

Уникалдуу

Ар бир веб -сайт уникалдуу сырсөзгө ээ болот. Example1.com жана example2.com үчүн сырсөздөр таптакыр башкача, бирок баштапкы "ингредиенттерде" бир гана белги бар. Төмөндөгү мисалда көрүнүп тургандай, "ингредиенттер" менен алынган сырсөздүн ортосунда эч кандай байланыш жок жана алар бири -биринен абдан айырмаланат.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Сактоо

Ал маалыматтарды сактабайт жана өткөрбөйт. Эгер сиз тынчсызданып жатсаңыз жана кимдир бирөөнүн аларды табууга же уурдоого мүмкүнчүлүгү жок болсо, аны толугу менен оффлайн режиминде иштетсе болот.

8 -кадам: SGP: Орнотуу

SGP орнотуу өтө жөнөкөй. Биринчиден, сиз аны кыстармаларыңыздын тилкесине кошкуңуз келет. Бул үчүн, төмөнкүгө өтүңүз:

chriszarate.github.io/supergenpass/

Тандоо үчүн 2 баскыч болот. Адатта колдонулган компьютерди орнотуу үчүн, сол баскычты кыстармалар тилкесине сүйрөңүз. Бул сизге колдонуу үчүн жаңы баскычты берет.

Эгерде сиз келечекте башка бирөөнүн компьютерин колдонуп жатсаңыз, анда оң жактагы баскычты тандай аласыз. Бул браузерде эч нерсени өзгөртпөстөн SGP колдонууга мүмкүндүк берет. Бул ошондой эле мобилдик браузердин варианты.

Кыстармаларыңыздын тилкесине кошулгандан кийин, баскычты басыңыз. Ал веб -баракчаңыздын бурчунда кичинекей терезени ачат. Кичинекей тетикти басуу менен орнотуулар ачылат.

Length

Сол жактагы сан - бул өзү түзө турган сырсөздүн узундугу. Мен сиз эң көп колдонгон сайттарды карап чыгууну жана бул сайттар уруксат бере турган эң жогорку санга коюуну сунуштайм. 12ден ашык сунушталат, бирок, аны эстөөнүн кажети жок, айрыкча, канчалык узак болсо, ошончолук жакшы.

Хэш түрү

Кандай таштанды колдонулаарынын эки варианты бар, MD5 жана SHA. Экөө тең баш тамгалар, кичине тамгалар жана сандар менен сырсөздөрдү жаратышат. Муну өзгөртүү - ошол эле башкы сырсөздү сактоо менен сырсөздөрүңүздүн бардыгын алмаштыруунун жөнөкөй жолу.

Жашыруун сырсөз

Жашыруун сырсөз бөлүмү бардыгы коопсуз экенин текшерүүнүн кошумча жолу. Апплет ишке киргенде, эгер сизде сырсөз болсо, анда ал сырсөз кутучасында кичинекей сүрөттү көрсөтөт. Бул сырсөз ДАЙЫМ башталганда бирдей болушу керек. Эгерде ал башталса жана бул сүрөт адаттагыдай болбосо, кимдир бирөө сиздин башкы сырсөзүңүздү алууга аракет кылып жаткандыр.

Master Password

Бул орнотуу учурунда кереги жок, бирок бул абдан маанилүү. Күчтүү сырсөздү тандап алганыңызды текшериңиз. Бул сиз ар дайым ар бир сайтка киргизе турган жалгыз сырсөз. Эстей алчу нерсе экениңизди текшериңиз, бирок татаал, узун жана жеке эмес.

Сакталууда

Бардык жөндөөлөрүңүздү тандап алгандан кийин, орнотууларды жабуу үчүн, сактоо белгисин жана тиштүү сөлөкөттү кайра басыңыз

9 -кадам: SGP колдонуңуз

SGPти колдонуу үчүн, кадимкидей вебсайтты карап чыгыңыз. Сырсөзүңүздү киргизүү керек болгондо, кыстарма тилкесине кошкон SGP баскычын басыңыз. Эгерде сиз SGPти орнотууда жашыруун сырсөздү колдонгон болсоңуз, анда сырсөз кутучасында көрсөтүлгөн сүрөт аны орноткондо кандай болгонуна дал келерин текшериңиз.

Башкы сырсөзүңүздү териңиз жана Enter басыңыз. Бул сиздин веб -сайтыңыз үчүн уникалдуу сырсөзүңүздү эсептеп, аны сиз үчүн толтурат! Сиз башкы сырсөзүңүздү терип жатканда, сөлөкөт жаңыртылып турат. Эгерде сүрөт сизде болгон сөлөкөткө дал келбесе, анда сиз башкы сырсөзүңүздү туура эмес тердиңиз, же кимдир бирөө сырсөзүңүздү алууга аракет кылып жатат.

Сайт кантип жазылганына жараша, SGP сиз үчүн сырсөздү киргизе албашы мүмкүн, же сайт анын киргизилгенин түшүнбөшү мүмкүн. Андай болсо, түзүлгөн сырсөз кутучасынын жанындагы көчүрүү сөлөкөтүн чыкылдатып, кол менен чаптап койсоңуз болот.

Сырсөзүңүз киргенден кийин, Кирүүнү чыкылдатыңыз жана сиз ошол жердесиз!

10 -кадам: Акыркы ойлор

SGP бардыгы үчүн иштебеши мүмкүн жана бул жакшы. Бул идеалдуу чечим эмес, анткени андай нерсе жок. Эгер сизде сырсөздөрдү колдонууну жактырган башка кызмат же ыкма бар болсо, коопсуз сырсөз үчүн 6 кадамды унутпаңыз. Эгерде сиздин учурдагы ыкмаңыз бул эки аймакта жетишпей калса, анда башка чечимди издөөгө убакыт келип жетиши мүмкүн. Ооба, бардык эсептериңизди алмаштыруу үчүн жарым күн талап кылынышы мүмкүн, бирок бул сиздин эсептериңиздин бузулушуна караганда баш оорусунан аз болмок.

Онлайн сактоо жөнүндө эскертүү: Эгерде кызмат сиздин сырсөздөрүңүздү онлайнда/"булутта" сактаса, алардын коопсуздугун текшерип, алардын жакшы экенине ынаныңыз. Сайт, кыязы, сырсөздөрүңүздү коргоо үчүн эмне кылып жатышканын айтып бериши мүмкүн, эгерде алар туура кылып жатса. Эгер ишенбесеңиз, аларга электрондук кат жазып, сураңыз. Эгер алар сизге жакшы/кыска/так жооп бере алышпаса, анда бул кызматты колдонууда этият болуңуз.